Update 9. August 2023
Microsoft hat jetzt ein Update veröffentlicht, das erweiterte Sicherheit als Defense-in-Depth-Strategie bietet.
Das Update kann hier heruntergeladen werden: Zum Update
Zero-Day: Sicherheitslücke durch Office-Dokumente – Update jetzt verfügbar
von David Hänel
13. Juli 2023
2 Minuten zu lesen
Autor
David Hänel
Ehrliches Miteinander und konstruktiver Austausch.
IT-Security bedeutet nicht automatisch eine Einschränkung des Benutzerkomforts.
Zum
Experten ProfilWorum geht's?
Microsoft hat eine Sicherheitslücke veröffentlicht (CVE-2023-36884), die es Angreifern ermöglicht auf sensible Daten zugreifen zu können. Dafür ist nur eine sehr geringe Benutzerinteraktion notwendig. Angreifer präparieren einen Office-Anhang in einer Email oder locken per Link User auf eine Homepage auf der Dokumente heruntergeladen werden sollen. Das öffnen des Anhangs reicht aus, damit die Hacker zugriff auf Unternehmensdaten erhalten. Die Sicherheitslücke wird mit einem CVSS-Score von 8.3 als hoch eingestuft. Das BSI stuft den Sachverhalt als schwerwiegend ein, Maßnahmen sollten schnellstmöglich getroffen werden.
Einen Patch gibt es noch nicht
Microsoft weist darauf hin, dass es noch keinen Patch gibt, um die Sicherheitslücke zu schließen. Es wird erwartet, dass das Unternehmen die Lücke bei seinem monatlichen Update schließen wird. Bis dahin wurde ein Workaround veröffentlicht, mit dem das Einfallstor geschlossen werden kann. Hier weist Microsoft darauf hin, dass bei Umsetzung des Workarounds es zu Funktionseinschränkungen kommen kann.
Außerdem empfehlen wir zur Zeit alle Office-Anhänge in Emails zu blockieren und Makros in Office zu deaktivieren. Zudem sollten Mitarbeiter noch einmal verstärkt sensibilisiert werden und über Security Awareness Trainings geschult werden:
- Erwarte ich wirklich diesen Office-Anhang?
- Kenne ich den Absender?
- Muss ich das Dokument wirklich sofort öffnen?
Sie brauchen Unterstützung bei der Blockierung Ihrer Anhänge oder möchten den Workaround umgesetzt haben? Dann melden Sie sich gerne bei uns.
Workaround
Folgende Mitigationsmaßnahmen stehen zur Verfügung:
Allen Microsoft-Office-Anwendungen das Erstellen von Child-Prozessen über die „Attack Surface Reduction (ASR)“-Regeln verbieten oder
unter dem Registry-Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
neue DWORD-Werte mit den folgenden Namen der Office-Programmdateien anlegen und jeweils auf 1 setzen:
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- POWERPNT.EXE
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
Sie brauchen Unterstützung bei der Blockierung Ihrer Anhänge oder möchten den Workaround umgesetzt haben? Dann melden Sie sich gerne bei uns.
War dieser Artikel hilfreich für Sie?